山田ウイルス感染レポート
実際に感染してみました。
駆除の参考になれば幸いです。

  1. 準備
  2. 感染
  3. 確認
  4. ヲチ
  5. 駆除
  6. その他


1.準備
今回使用したウイルス込みファイルは某P2Pソフト上で配布された『(写真集) 山田玲奈 「はじめまして」.zip』。
感染前のデスクトップもどことなく(´・ω・)カワイソスな感じ。
(´・ω・)カワイソス壁紙


感染前のレジストリも確認しておきます。
注目するのは2箇所です。
+HKEY_LOCAL_MACHINE
 +SOFTWARE
  +Microsoft
   +Windows
    +CurrentVersion
     +Run
レジストリその1


+HKEY_CURRENT_USER
 +Software
  +Microsoft
   +Windows
    +CurrentVersion
     +Run
レジストリその2


タスクマネージャーです。
ユーザ名『ハマー』でログオンしています。
通常のsvchost.exeは『NETWORK SERVICE』『LOCAL SERVICE』『SYSTEM』ユーザで動いています。
タスクマネージャー


C:\WINDOWS\system32\drivers\etcフォルダにあるhostsファイルです。
#で始まる行はコメントですので無視してかまいません。
大抵のユーザは『127.0.0.1 localhost』だけです。 hostsファイル



2.感染
それでは山田ウイルスが仕込まれたファイルを解凍してみます。
解凍中…

すでにおかしいです。
とりあえず、解凍作業が終了するのを待ちましょう。


解凍完了

やれ、やっぱりフォルダ?
そんなわけありません、実行(exe)ファイルのアイコンがフォルダアイコンなだけです。
長い空白のあとにある.exeがそれを示しています。
ちなみにOSがXPでなければ、通常のフォルダアイコンとの違いに気付く――はずです。


でも気付かなかったフリをして、このフォルダを開くためダブルクリックします。
ダブルクリック

やっぱりフォルダじゃないか!
心配は杞憂に終わり、安心して写真集を見ることができます。








模造でした _| ̄|○


まあ、よくあることと割り切って、一度上のフォルダに戻りましょう。
フォルダ名が…?

察しの良い方ならすでにお気づきでしょうが、先ほどとフォルダ名が違います。
(空白).exeがありません。


答えは簡単です。
『(写真集) 山田玲奈 「はじめまして」(空白).exe』は自己解凍型圧縮ファイルだったのです。
そして先ほど開いたフォルダは解凍によって新たに作られたフォルダというわけです。


こんなおかしな挙動を目撃した以上、何かあると思うのが当然です。
タスクマネージャーを起動してみましょう。
新たなsvchost.exe

最初に確認した時にはなかったsvchost.exeが動いています。
しかも、本来あり得ないログオンユーザ名『ハマー』で動いています。

見事ウイルスに感染しました。



3.確認
とりあえず、これが山田ウイルスなのか確認してみましょう。

通報屋氏のブログ『ニュイルス日誌』から山田チェックツールをダウンロードし、実行してみます。
通報屋氏は山田ウイルスの駆除に最も貢献した人物である

ログをコピーします
OSバージョン:Windows XP Service Pack 1
詳細なOS情報: Version5.1 Build:2600 Service Pack 1
チェック結果:
OSの情報を収集します。
OSの情報を収集しました。

HKEY_LOCAL_MACHINE内の自動実行を検索しています・・・
HKEY_LOCAL_MACHINE内の自動実行検索完了・・・
HKEY_LOCAL_MACHINE内の自動実行に問題はありません

HKEY_LOCAL_USER内の自動実行を検索しています・・・
HKEY_LOCAL_USER内の自動実行検索完了・・・
HKEY_LOCAL_USER内の自動実行に問題はありません

HOSTSファイルの書き換えを検索しています
HOSTSファイルの書き換えの検索が完了しました
HOSTSファイル改変なし。

All Userスタートアップ検索開始
svchost.exeを含むショートカットを発見
ファイルパス:C:\Program Files\Common Files\Microsoft Shared\Themes\blends\svchost.exe
All Userスタートアップ検索終了
共通スタートアップに偽装EXEらしきエントリを発見しました

個人スタートアップ検索開始
個人スタートアップ検索終了
ユーザスタートアップに問題はありません

Boot.iniファイルの書き換えを検索しています
Type 1 Loading Files...
Type 1 Loading Files Complete...
Boot.iniファイルの書き換えの検索が完了しました
Boot.iniファイル改変なし。

山田ウイルスに感染している可能性があります。
詳細は http://www2.atwiki.jp/kawaisosu/ まで。
実際に動いているかどうかはプロセススキャンでお確かめを。

残念(?)なことに、レジストリとhostsファイルは弄られていませんでした。



気を取り直して、ログオンユーザ名で動いているプロセスsvchost.exe本体のある場所を確認しましょう。
プロセスパスを調べるのにはSlightTaskManagerを使用します。
サイレントタスクマネージャーではありません

プロセスパスが、山田チェックツールが指摘した『All Userスタートアップ』の偽装EXEへのファイルパスと一致します。


今度はAll Userスタートアップを調べてみましょう。
ハマーの場合、スタートアップフォルダにショートカットは1つしかありませんので、それのプロパティを調べてみます。
偽装?

一見おかしな所など、無いように思えます。
ですが『リンク先』の項目をよく調べてみましょう。

!?

正しいパスの前に、svchost.exeへのパスがありました。
"C:\Program Files\Common Files\Microsoft Shared\Themes\blends\svchost.exe" "C:\Program Files\Microsoft Office\Office\OSA9.EXE" -b -l

よく見れば、作業フォルダもsvchost.exeの存在するフォルダを示しています。


ついでなので、PC内を『svchost.exe』で検索してみましょう。
Program Filesフォルダ内にあるとは限らないので全フォルダ検索が確実

本物の『svchost.exe』は『C:\WINDOWS\system32』フォルダにしか存在しません。
『SVCHOST.EXE-3530F672.pf』はあっても無くても問題はないので、今回は無視します。


それではこの偽装『svchost.exe』のあるフォルダを開いてみましょう。
あんたはここにいちゃいけない

fusianasanと入力してはいけません

もはや疑いようもありません。
山田ウイルスに感染しています。



4.ヲチ
ここで少し視点を変えてみましょう。
山田ウイルスは感染したPCのスクリーンショットとハードディスクの中身を公開します。
ですので別のPCから感染パソコンにアクセスしてみます。
アクセスするにはアドレスにIPアドレスを入力するだけです。 トップページ

感染者のSS

感染者のCドライブ


ハマーと言えば山田砲(?)。
そこで自分に向けて撃ってみました。

山田砲着弾の瞬間

山田砲命中を確認

突然こんなページが開いたら怖いです。
ボソ)だからこそ効果的



5.駆除
最初にログオンユーザ名で動いている『svchost.exe』を終了させます。
山田svchostを停止

3.で確認した山田ウイルス本体とフォルダを削除します。
山田本体を削除

これだけでも十分ですが、スタートアップ内の偽装エントリも削除しておきます。
スタートアップの修正


PCを再起動させて、ログオンユーザ名で動いている『svchost.exe』が無ければ駆除完了です。



6.その他
今回感染した山田ウイルスは、
として検出されます。



Topへ戻る